4
Pfsense Wireguard
Hallo zusammen,
ich betreibe einen PFSENSE 2.7.2 Router auf einem Fujitsu mini PC. An WAN ist ein Kabelmodem im Bridge Modus angeschlossen - Anschluss mit fester IP.
IPv6 ist nicht aktiv.
Es gibt einen DHCP Bereich 100 - 150 und ein paar geräte ausserhalb mit manueller IP (Server hat die 6, Backup NAS hat die 249
Ich hab Wireguard eingerichtet und einen peer verbunden. Läuft alles und ich kann mich auch auf Netzwerkfreigaben eines Clients verbinden, der über DHCP eine IP zugewiesen bekommen hat. Ich kann den (und andere) auch anpingen.
Den Server x.x.x.6 und das NAS x.x.x.249 und Proxmox x.x.x.5 jedoch nicht. Weder Ping noch Freigabeverbindung.
Ich habe im PFsense eine feste Zuordnung für x.x.x.6 eingetragen - ohne Erfolg.
Hat jemand eine Idee? Was für Infos muss ich noch bereitstellen?
lieben Gruß
Bastian
ich betreibe einen PFSENSE 2.7.2 Router auf einem Fujitsu mini PC. An WAN ist ein Kabelmodem im Bridge Modus angeschlossen - Anschluss mit fester IP.
IPv6 ist nicht aktiv.
Es gibt einen DHCP Bereich 100 - 150 und ein paar geräte ausserhalb mit manueller IP (Server hat die 6, Backup NAS hat die 249
Ich hab Wireguard eingerichtet und einen peer verbunden. Läuft alles und ich kann mich auch auf Netzwerkfreigaben eines Clients verbinden, der über DHCP eine IP zugewiesen bekommen hat. Ich kann den (und andere) auch anpingen.
Den Server x.x.x.6 und das NAS x.x.x.249 und Proxmox x.x.x.5 jedoch nicht. Weder Ping noch Freigabeverbindung.
Ich habe im PFsense eine feste Zuordnung für x.x.x.6 eingetragen - ohne Erfolg.
Hat jemand eine Idee? Was für Infos muss ich noch bereitstellen?
lieben Gruß
Bastian
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 22791620078
Url: https://administrator.de/contentid/22791620078
Printed on: May 4, 2024 at 22:05 o'clock
4 Comments
Latest comment
Hallo.
Gruß Schrick.
- Windows Firewall angepasst? Per Default wird unter Windows ICMP/SMB aus fremden Subnetzen (welches das Wireguard Subnetz ja ist) geblockt. Bei anderen Devices ebenfalls die Firewall checken und nötige Freigaben für das Wireguard Subnetz erstellen.
- pfSense lässt in der Firewall den Traffic auf dem WG Interface zu diesen Devices passieren?
- Steht das zu erreichende Subnetz auch in den AllowedIPs des Wireguard-Clients?
Gruß Schrick.
1
pfSense lässt in der Firewall den Traffic auf dem WG Interface zu diesen Devices passieren?
Zu sehen an einem Beispiel wir z.B. hier:Wireguard Beispiel pfSense
pfSense als Wireguard Responder (VPN Server).
Wenn du andere Endgeräte im lokalen Netz pingen und erreichen kannst ist es wie Kollege @schrick schon sagt zu 98% die lokale Firewall oder ein fehlender Default Gateway Eintrag.
Alle weiteren Wireguard Details im Tutorial.
Also ich habs mit angesehen. Selbst wenn ich über mein Telefon als Hotspot per Wireguard verbinde. Das Phänomen bleibt.
Mein Macbook ohne Firewall über das iPhone direkt zum Zielnetz. Verbindung steht, ich kann diverse Hosts anpingen.
Ich kann mich auch auf die Netzwerkfreigabe eines Mac mini mit der Host IP 87 verbinden - läuft.
Was nicht läuft:
Ping auf Host IP 5 und 6 und 249
SMB Verbindung auf selbige
Webseite auf selbige
anydesk auf den Host 87 geht nicht.
also lokale Firewall? Beim Client / Peer? Nein, keine da. Bei der PFSense? Nur die PfSense selber - Einstellungen wie im Tutorial. (Übrigens großen Respekt 👍🏼
Default Gateway von der PfSense? Ich denke schon - muss ich irgendwas besonderes beachten?
Danke für die Tips und Hilfe
Bastian
Mein Macbook ohne Firewall über das iPhone direkt zum Zielnetz. Verbindung steht, ich kann diverse Hosts anpingen.
Ich kann mich auch auf die Netzwerkfreigabe eines Mac mini mit der Host IP 87 verbinden - läuft.
Was nicht läuft:
Ping auf Host IP 5 und 6 und 249
SMB Verbindung auf selbige
Webseite auf selbige
anydesk auf den Host 87 geht nicht.
also lokale Firewall? Beim Client / Peer? Nein, keine da. Bei der PFSense? Nur die PfSense selber - Einstellungen wie im Tutorial. (Übrigens großen Respekt 👍🏼
Default Gateway von der PfSense? Ich denke schon - muss ich irgendwas besonderes beachten?
Danke für die Tips und Hilfe
Bastian
also lokale Firewall?
Ja, relativ sicher und ganz besonders wenn diese Endgeräte .5, .6, .87 und .249 Winblows Maschinen sind!Dort ist generell der Zugriff von fremden IP Adressen durch die lokale Firewall für alle Dienste (auch Ping mit ICMP) geblockt! Absender IP ist ja immer die des internen WG Netzes also eine fremde IP.
https://www.windowspro.de/wolfgang-sommergut/ping-windows-10-erlauben-gu ...
Stelle aber dennoch absolut sicher das die Geräte mit statischer IP ein Default Gateway konfiguriert haben was die Route ins internen WG Netz kennt! Das ist essentiell wichtig fürs Routing. Das Traceroute Tool (tracert bei Windows) ist hier, wie immer, dein bester Freund!
Default Gateway von der PfSense? Ich denke schon
Nein, kannst du sicher ausschliessen, den dann würde ja auch der Mac scheitern.Eigentlich auch völlig sinnfrei mit Wireguard da rumzufrickeln denn mit L2TP oder IKEv2 VPNs auf der pfSense hast du 2 bessere VPN Optionen die dir das überflüssige Rumfrickeln mit ebenso überflüssigen externen VPN Clients ersparen. Die bordeigenen VPN Clients können das bekanntlich deutlich besser...
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
